A Devlet destekli İranlı tehdit aktörü Cobalt Mirage’ın alt grubu, çeşitli ABD kuruluşlarına saldırmak için “Drokbk” adlı yeni bir özel kötü amaçlı yazılım kullanıyor ve GitHub’ı “kesintisiz çözümleyici” olarak kullanıyor.
Göre GÖSTERGEkalıcı çözümleyicilerin kullanımı, düşmanların hain niyetlerini gizleme çabasıyla gömülü kötü amaçlı etki alanları veya IP adresleri içeren meşru Web hizmetlerinde içerik yayınlaması anlamına gelir.
Bu durumda Drokbk, GitHub’a bağlanarak komut ve kontrol (C2) sunucusunu bulmak için ölü bırakma çözümleyici tekniğini kullanır.
Raporda, “C2 sunucu bilgileri, kötü amaçlı yazılımda önceden yapılandırılmış veya kötü amaçlı yazılım tarafından deterministik olarak bulunabilen bir hesapta bir bulut hizmetinde depolanır.”
Drokbk kötü amaçlı yazılımı .NET’te yazılmıştır ve bir damlalık ile bir yükten oluşur.
Tipik olarak, güvenliği ihlal edilmiş bir sunucuya bir Web kabuğu yüklemek için kullanılır ve ardından yanal genişleme aşamasının bir parçası olarak ek araçlar dağıtılır.
Göre bildiri Secureworks Karşı Tehdit Birimi’nden (CTU) Drokbk, Şubat ayında bir ABD yerel yönetim ağına izinsiz girişin ardından ortaya çıktı. Bu saldırı, iki Log4j güvenlik açığını kullanan bir VMware Horizon sunucusunun güvenliğinin aşılmasıyla başladı (CVE-2021-44228 ve CVE-2021-45046).
Secureworks baş araştırmacısı ve İran tematik lideri Rafe Pilling, “Bu grubun ABD ve İsrail’e karşı geniş çaplı tarama ve istismar faaliyeti yürüttüğü gözlemlendi, bu nedenle bu anlamda, çevrelerinde savunmasız sistemler bulunan herhangi bir kuruluş potansiyel hedeftir” diyor.
Drokbk’nin tehdit aktörlerine Fast Reverse Proxy (FRP) ve Ngrok gibi tünel açma araçlarının yanı sıra keyfi uzaktan erişim ve ek dayanak noktası sağladığını açıklıyor. Aynı zamanda nispeten bilinmeyen bir kötü amaçlı yazılım parçasıdır.
“Şu anda bunu kendi ağlarında fark edilmeden çalıştıran kuruluşlar olabilir” diye ekliyor.
Neyse ki, GitHub’ı kalıcı çözümleyici olarak kullanmak, siber savunucuların ağlarında arayabilecekleri bir tekniktir.
Pilling, “Savunanlar TLS ile şifrelenmiş trafik akışlarını görüntüleyemeyebilirler, ancak hangi URL’lerin istendiğini görebilirler ve sistemlerinden GitHub API’lerine yönelik olağandışı veya beklenmedik bağlantıları arayabilirler.”
Dead-Drop Çözümleyici Tekniği Esneklik Sunar
Kesintisiz çözümleyici tekniği, kötü amaçlı yazılım operatörlerine bir dereceye kadar esneklik sağlayarak C2 altyapılarını güncellemelerine ve kötü amaçlı yazılımlarıyla bağlantıyı sürdürmelerine olanak tanır.
Pilling, “Ayrıca, meşru bir hizmetten yararlanarak kötü amaçlı yazılımın karışmasına yardımcı olur” diyor.
Güçlü Yama Uygulaması Kritik Bir Savunma Stratejisidir
Pilling, ProxyShell ve Log4Shell gibi iyi bilinen ve popüler güvenlik açıklarının bu grup tarafından tercih edildiğini belirterek, kuruluşlara İnternet’e bakan sistemlere yama yapmalarını tavsiye ediyor.
“Genel olarak, bu grup ve diğerleri, güvenilir yararlanma koduna sahip en son ağ güvenlik açıklarını hızlı bir şekilde benimseyecek, bu nedenle bu sağlam yama işlemine sahip olmak çok önemlidir” diyor.
Ayrıca kuruluşlara, Cobalt Mirage izinsiz girişlerini tespit etmek, bir antivirüs çözümünün yaygın olarak dağıtıldığından ve güncel olduğundan emin olmak ve ağlar ve bulut sistemleri arasında kapsamlı görünürlük sağlamak için EDR ve XDR çözümlerini devreye almak için raporda sağlanan göstergeler için güvenlik telemetrisi aracılığıyla arama yapmalarını önerir.
İran Destekli Tehdit Grupları Gelişiyor, Saldırılar Artıyor
CTU ayrıca Cobalt Mirage’ın kuruluş içinde faaliyet gösteren Secureworks’ün Küme A ve Küme B olarak adlandırdığı iki ayrı gruba sahip göründüğünü kaydetti.
Pilling, “Tradecraft’taki ilk benzerlik, tek bir grubun yaratılmasıyla sonuçlandı, ancak zamanla ve birden fazla olay-müdahale angajmanı içinde, iki farklı faaliyet kümesine sahip olduğumuzu gördük,” diye açıklıyor.
İleriye dönük olarak, kurulu grupların hem yerli hem de yabancı İran istihbarat çıkarlarıyla uyumlu hedeflere karşı faaliyet göstermeye devam etmesi bekleniyor. Hacktivist ve siber suç kişiliklerinin artan kullanımının hem istihbarat odaklı hem de yıkıcı operasyonlar için kılıf olarak kullanılacağını ekliyor.
“E-posta ve sosyal medya tabanlı kimlik avı tercih edilen yöntemlerdir ve karmaşıklıkta bazı kademeli gelişmeler görebiliriz” diye açıklıyor.
17 Kasım’da yayınlanan ortak bir danışma belgesinde ABD, Birleşik Krallık ve Avustralya’daki siber güvenlik kurumları, İran’la bağlantılı grupların saldırılarının arttığı konusunda uyarıda bulundu. Cobalt Mirage neredeyse tek başına değil.
“Son iki yılda birden fazla grup karakterinin ortaya çıktığını gördük – birkaç isim vermek gerekirse Musa’nın Asası, İbrahim’in Baltası, Kurtarıcı Hacker’ları, Anavatan Adaleti. — Pilling, “Öncelikle İsrail’i hedef alıyor, ancak daha yakın zamanda Arnavutluk ve Suudi Arabistan, bilgi operasyonlarıyla birlikte hack-and-leak tarzı saldırılar gerçekleştiriyor” dedi.
ABD Hazine Bakanlığı, bir dizi gelişmiş kalıcı tehdit (APT) grubu aracılığıyla ABD hedeflerine karşı sistematik bir şekilde gerçekleştirildiğini iddia ettiği siber suç faaliyetleri nedeniyle İran hükümetine yaptırım uygulamak için harekete geçti bile.
